¿CON QUIÉN CREES QUE ESTÁS HABLANDO, RECIBIENDO O INTERCAMBIANDO MENSAJES DE TEXTO?
La clave sos vos, una ya extendida modalidad utiliza a las agencias de impuestos de una larga lista de países, en ARG esta estafa utiliza correos electrónicos falsos que aparentan ser de la AFIP, los estafadores envían mensajes que informan sobre el vencimiento de la clave fiscal y solicitan a las víctimas actualizar su información biométrica enviando fotos del DNI y un video selfie, buscando obtener datos sensibles para comprometer la seguridad de las cuentas de los usuarios.
La nuestra es una nueva época en la evolución del delito que utiliza tecnología que habrían sido ciencia ficción cuando el phishing inicialmente hostigo a las marcas bancarias hace algo más de 20 años, ahora la información y los recursos están fácilmente disponibles para las bandas de ciberdelincuentes y tienen los medios y la experiencia.
Las estafas son cada vez más convincentes y costosas. Desde el ahora super popular Whatsapping, un término genérico para describir el intento de estafarnos a través de WhatsApp haciéndose pasar por otra persona o entidad con el objetivo de obtener información personal, dinero, o ambas, hasta los ciberdelincuentes que aprovechan cada vez más las técnicas de “cat-phishing”, explotando redireccionamientos abiertos en sitios web legítimos para engañar a los usuarios y distribuir malware, una tendencia preocupante. Es factible aprovechar vulnerabilidades de redireccionamiento abierto dentro de sitios web de buena reputación, a menudo a través de “incrustaciones” de anuncios falsos, para redirigir a los usuarios a sitios web fraudulentos, explotando la confianza que los usuarios tienen en sitios conocidos y de excelente reputación, lo que dificulta que los sistemas de seguridad detecten actividades irregulares.
El malware es la amenaza de más rápido crecimiento en el primer cuatrimestre de 2024; además, al menos el 14% de las amenazas de correo electrónico lograron evadir las capacidades de detección según nuestros cálculos. Dirigirse a las empresas con señuelos de comprobantes de transacciones comerciales pedidos, facturas, etc., es uno de los trucos más antiguos que existen, pero aún así muy eficaz. Los empleados que trabajan en los departamentos de finanzas están acostumbrados a recibir documentos por correo electrónico, por lo que es más probable que las abran. Si tienen éxito, los atacantes pueden monetizar rápidamente su acceso vendiéndolo a intermediarios cibercriminales o implementando ransomware.
Las técnicas de phishing basadas en imágenes evolucionan también, la utilización de fotos, videos y códigos QR para inocular malware no es suficientemente tratada por las organizaciones y la gran mayoría de las empresas (75%) reconoce que no posee suficientes capacidades para la detección temprana.
Los ataques de Vishing híbridos que rastreamos generalmente comienzan como un correo electrónico que indica que al destinatario se le ha cobrado por un producto o servicio, los mensajes indican al destinatario que llame a un número de teléfono si quiere cancelar su pedido y/o que le devuelvan el dinero. La lista de marcas suplantadas es interminable. las plataformas de redes sociales son las más utilizadas y atacadas en este primer cuatrimestre de 2024. El Phishing contra el segmento bancario/financiero/billeteras permanece estable y con cifras parecidas al 2023 pero sostenido.
La disponibilidad de muestras de voz y video de alta fidelidad en la web, nuestra información personal, privada en las redes sociales y datos financieros vendidos en los mercados de la dark web producirá que sea cada vez sea más fácil utilizar la IA para construir “Ingeniería Social” y hacernos pisar el palito creará estafas muy, muy creíbles. Debemos ir más allá de la seguridad centrada en la detección y adoptar una estrategia de defensa en profundidad, incorporando mitigación de amenazas y tecnologías avanzadas como la inteligencia artificial para combatir eficazmente ataques sofisticados.